Legal & Policies

Cette politique de confidentialité décrit comment Thomas LEQUEUX Consulting collecte, utilise, traite et protège les données personnelles des utilisateurs de l'add-in Excel Opti', accessible depuis le site https://lequeux-thomas.com/addin/

---

1. Responsable du traitement

Le responsable du traitement des données est :

Thomas LEQUEUX Consulting
Micro-entreprise française — SIRET : 94071918000017
Adresse : 5 Allée de l'Autan, 31850 Montrabé, France
Email de contact : thomas.lequeux.consulting@gmail.com

---

2. Données collectées

Nous collectons uniquement les données strictement nécessaires au bon fonctionnement de l'add-in :

• Adresse e-mail
• Historique d'abonnement et de paiement (via Stripe)
• Historique des requêtes API réalisées vers le serveur
• Nombre de tokens utilisés pour les appels à l'IA

Nous ne collectons ni ne stockons les fichiers Excel, bases de données ou données utilisateurs traitées par l'add-in.

---

3. Finalité du traitement

Les données collectées servent uniquement à :

• Gérer l'accès au service (forfaits, autorisations)
• Valider la licence de l'utilisateur
• Gérer les limites d'utilisation
• Offrir un support client en cas de besoin
• Informer ponctuellement l'utilisateur de mises à jour ou offres liées au produit

Aucune donnée n'est vendue, louée ou cédée à des tiers à des fins commerciales.

---

4. Analyse par l'intelligence artificielle — Moteurs disponibles

L'add-in propose quatre moteurs d'analyse par intelligence artificielle, chacun offrant un niveau de confidentialité et de puissance différent. L'utilisateur choisit librement son moteur avant chaque analyse.

4.1 OpenAI (Cloud — États-Unis)

Lorsque l'utilisateur sélectionne le moteur OpenAI :

• Le tableau sélectionné par l'utilisateur est converti en texte et envoyé via le serveur backend sécurisé de Thomas LEQUEUX Consulting à l'API d'OpenAI.
• Le serveur backend ne conserve ni ne journalise le contenu des requêtes ou des réponses.
• Les données envoyées à OpenAI sont limitées au contenu du tableau sélectionné, dans une action volontaire et explicite de l'utilisateur.
• Le traitement par OpenAI est soumis à leur Data Processing Addendum (DPA).
• Le mode « no training » est activé : OpenAI peut stocker temporairement les requêtes pendant 30 jours maximum pour contrôle de qualité, sans les utiliser à des fins d'entraînement de modèles.

4.1b Mistral AI (Cloud — Union européenne)

Lorsque l'utilisateur sélectionne le moteur Mistral AI :

• Le tableau sélectionné par l'utilisateur est converti en texte et envoyé via le serveur backend sécurisé de Thomas LEQUEUX Consulting à l'API de Mistral AI.
• Le serveur backend ne conserve ni ne journalise le contenu des requêtes ou des réponses.
• Les données envoyées à Mistral AI sont limitées au contenu du tableau sélectionné, dans une action volontaire et explicite de l'utilisateur.
• Mistral AI est une société française (SAS, siège social : 15 rue des Halles, 75001 Paris — SIREN : 952418325), soumise nativement au Règlement Général sur la Protection des Données (RGPD).
• Par défaut, les données sont hébergées dans l'Union européenne.
• Thomas LEQUEUX Consulting utilise le plan Scale de Mistral AI. Sur ce plan, les données des utilisateurs (entrées et sorties) ne sont pas utilisées pour l'entraînement des modèles d'intelligence artificielle de Mistral AI. Aucune action de l'utilisateur n'est requise pour bénéficier de cette protection.
• Mistral AI conserve les entrées et sorties des requêtes API pendant 30 jours glissants à des fins de surveillance des abus, après quoi les données sont supprimées.
• Le traitement par Mistral AI est soumis à leur Data Processing Addendum (DPA), disponible sur legal.mistral.ai.
• L'option Zero Data Retention (ZDR) est disponible sur demande auprès de Mistral AI, permettant de supprimer toute conservation des entrées et sorties au-delà du temps de traitement de la requête.

4.2 OptIA Online (Serveur privé)

Lorsque l'utilisateur sélectionne le moteur OptIA Online :

• Le tableau sélectionné est converti en texte et envoyé via le serveur backend sécurisé de Thomas LEQUEUX Consulting à un conteneur GPU privé, exploité exclusivement par Thomas LEQUEUX Consulting.
• Le modèle d'intelligence artificielle (Qwen 2.5 72B) est exécuté dans ce conteneur privé ; aucun prestataire d'IA tiers n'intervient dans le traitement.
• Le conteneur GPU est hébergé par la plateforme Modal (Modal Labs, Inc.), certifiée SOC 2 Type II et compatible HIPAA.
• Le serveur backend (Render) ne conserve ni ne journalise le contenu des requêtes ou des réponses.
• Le conteneur GPU ne conserve aucune donnée utilisateur sur disque : le modèle s'exécute intégralement en mémoire vive (RAM GPU) et les données sont purgées dès la fin du traitement.
• Le conteneur GPU s'éteint automatiquement après une période d'inactivité (scale-to-zero), réduisant ainsi la surface d'exposition.
• Les communications entre le serveur backend et le conteneur GPU sont protégées par une clé d'authentification dédiée et chiffrées via HTTPS (TLS 1.3).

Garanties de confidentialité de Modal :

• Modal s'engage contractuellement à ne jamais accéder, lire ou utiliser le code source, les entrées et sorties des fonctions, ni aucune donnée stockée dans les images et volumes de ses clients (politique de moindre privilège documentée).
• Modal supprime toutes les entrées et sorties de fonctions dès que les résultats ont été récupérés par le client.
• Les conteneurs sont isolés par la technologie gVisor (sandboxing développé par Google et utilisé dans Google Cloud Run), garantissant une isolation renforcée entre les charges de travail.
• Toutes les données sont chiffrées en transit (TLS 1.3) et au repos (AES-256).
• Le client (Thomas LEQUEUX Consulting) conserve l'intégralité des droits de propriété sur ses données. Modal ne peut utiliser que des données agrégées et dé-identifiées à des fins internes.
• Modal est certifié SOC 2 Type II, attestant de la mise en œuvre et du maintien effectif de contrôles de sécurité sur une période prolongée, et propose la signature de Business Associate Agreements (BAA) pour les données de santé (conformité HIPAA).

4.3 OptIA Offline (100 % local)

Lorsque l'utilisateur sélectionne le moteur OptIA Offline :

• Le modèle d'intelligence artificielle s'exécute intégralement sur l'ordinateur de l'utilisateur.
• Aucune donnée ne quitte la machine de l'utilisateur : ni le contenu du tableau, ni la réponse générée ne sont transmis à un serveur distant.
• Aucune connexion réseau n'est nécessaire pour le traitement de l'analyse.
• Thomas LEQUEUX Consulting n'a aucune visibilité et aucun accès aux données traitées dans ce mode.

4.4 Tableau comparatif des moteurs d'analyse

Critère	OpenAI (Cloud)	Mistral AI (Cloud UE)	OptIA Online	OptIA Offline
Confidentialité	Standard	Bonne	Élevée	Maximale
Puissance IA	Maximale	Bonne	Élevée	De base
Données quittent le PC	Oui	Oui	Oui	Non
Tiers impliqué	OpenAI (USA)	Mistral AI (France)	Aucun prestataire d'IA	Aucun
Hébergeur infrastructure	OpenAI (USA)	Mistral AI (UE, France)	Modal (USA, SOC 2 Type II)	Poste local
Résidence des données	États-Unis	Union européenne (par défaut)	États-Unis (Modal)	Poste local
Accès du prestataire aux données	30 j (OpenAI)	30 j (surveillance abus)	Aucun (engagement contractuel)	Aucun
Utilisation pour l'entraînement	Non (mode « no training »)	Non (plan Scale, opt-out par défaut)	Non applicable	Non applicable
Stockage des données	30 j (OpenAI)	30 j, puis suppression	Aucun (supprimées après traitement)	Aucun
Zero Data Retention (ZDR)	Sur demande	Disponible sur demande	Non applicable (aucun stockage)	Non applicable
Conformité RGPD	Via SCC (transfert USA)	Native (société française)	Via DPA Modal	Non applicable
Chiffrement	TLS en transit	TLS en transit	TLS 1.3 + AES-256 au repos	Non applicable
Connexion requise	Oui	Oui	Oui	Non

L'utilisateur est libre de changer de moteur à tout moment, selon le niveau de confidentialité et de puissance souhaité.

4.5 OptiBot — Assistant conversationnel

L'add-in intègre un assistant conversationnel appelé OptiBot. Lorsqu'un utilisateur pose une question relative à ses données :

• OptiBot analyse uniquement les en-têtes de colonnes (noms des champs) de la feuille de calcul active afin de déterminer quelles colonnes sont pertinentes pour répondre à la question.
• Si OptiBot détecte qu'une colonne est susceptible de contenir des données à caractère personnel (par exemple : noms des répondants, adresses e-mail, numéros de téléphone), il demande explicitement à l'utilisateur s'il souhaite inclure ou exclure cette colonne de l'analyse, avant tout accès au contenu des données.
• Si l'utilisateur choisit d'exclure une colonne, celle-ci devient entièrement invisible pour le moteur d'IA : ni l'en-tête, ni les données de la colonne ne sont lus ou transmis.
• Ce mécanisme de consentement préalable s'applique quel que soit le moteur d'IA sélectionné (OpenAI, Mistral AI, OptIA Online ou OptIA Offline).

4.6 Exclusion manuelle de colonnes

Indépendamment de la détection automatique d'OptiBot, l'utilisateur peut à tout moment exclure manuellement n'importe quelle colonne de l'analyse en cliquant sur le bouton d'exclusion (icône « sens interdit ») présent sur chaque ligne de la liste des en-têtes de colonnes.

Toute colonne exclue — que ce soit par décision de l'utilisateur via OptiBot ou via l'exclusion manuelle — est intégralement ignorée par l'ensemble des traitements d'IA, y compris l'analyse, le nettoyage et la génération de rapports.

4.7 Nettoyage des données (Clean Data)

L'add-in propose une fonctionnalité de nettoyage automatisé des données. Lorsque l'utilisateur active cette fonction :

• Le moteur d'IA reçoit les en-têtes des colonnes non exclues ainsi qu'un échantillon représentatif des données présentes dans ces colonnes.
• L'IA identifie les données nécessitant un nettoyage, notamment les réponses en texte libre (par exemple : champs « Autre, précisez… ») pour lesquelles les formulations varient d'un répondant à l'autre.
• L'IA propose des regroupements et des uniformisations de ces réponses afin de réduire le nombre d'occurrences distinctes et de permettre une analyse statistique fiable.
• Les modifications proposées sont présentées à l'utilisateur sous forme de prévisualisation. Aucune modification n'est appliquée sans la confirmation explicite de l'utilisateur.
• Les colonnes préalablement exclues par l'utilisateur ne sont jamais incluses dans le traitement de nettoyage.

Le nettoyage est soumis aux mêmes règles de confidentialité que l'analyse : les données sont traitées par le moteur d'IA sélectionné par l'utilisateur, selon les modalités décrites aux sections 4.1 à 4.3.

---

5. Sécurité

• L'add-in fonctionne en grande partie en local pour la génération de tableaux.
• Les échanges avec le serveur backend se font via connexion HTTPS sécurisée.
• Les communications entre le serveur backend et le conteneur GPU privé (OptIA Online) sont protégées par une clé d'authentification dédiée et chiffrées en TLS 1.3.
• Les mots de passe ne sont jamais stockés en clair.
• L'authentification et le stockage des mots de passe sont gérés par Supabase, via un chiffrement sécurisé.
• Thomas LEQUEUX Consulting n'a jamais accès aux mots de passe.
• Les tokens d'authentification sont gérés de façon sécurisée et liés à l'identifiant utilisateur.
• Le conteneur GPU privé s'éteint automatiquement après une période d'inactivité (scale-to-zero), limitant ainsi la surface d'exposition des données.
• Les conteneurs GPU sont isolés par la technologie gVisor, empêchant tout accès croisé entre charges de travail.

---

6. Durée de conservation

• Les données liées aux abonnements et paiements sont conservées pendant la durée de l'abonnement, puis archivées pour la durée légale fiscale (5 ans).
• Les données techniques (nombre d'appels API, logs) sont conservées uniquement pour la durée nécessaire à la gestion du service.
• Les échanges de support peuvent être conservés à des fins d'amélioration du service ou d'archivage technique.
• Les données utilisateur traitées par les moteurs d'IA ne sont pas conservées au-delà du temps de traitement de la requête, à l'exception d'OpenAI et de Mistral AI qui peuvent les conserver 30 jours pour le contrôle de qualité et la surveillance des abus (cf. sections 4.1 et 4.1b). Pour le moteur OptIA Online, Modal supprime toutes les entrées et sorties de fonctions dès que les résultats ont été récupérés. L'option Zero Data Retention (ZDR) est disponible sur demande auprès d'OpenAI et de Mistral AI pour éliminer cette rétention de 30 jours.

---

7. Droits des utilisateurs (RGPD)

Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :

• Droit d'accès à vos données
• Droit de rectification
• Droit d'opposition et d'effacement
• Droit à la limitation du traitement
• Droit à la portabilité

Pour exercer vos droits : 📧 thomas.lequeux.consulting@gmail.com

---

8. Hébergement et sous-traitants

8.1 Supabase — Gestion de la base de données

• Utilisé pour l'authentification et le stockage sécurisé des données utilisateurs (adresse e-mail, identifiant, abonnements).
• Les mots de passe sont chiffrés et gérés exclusivement par Supabase, sans accès en clair par Thomas LEQUEUX Consulting.
• Serveurs situés dans l'Union européenne, conforme au RGPD.

8.2 Stripe — Paiements et abonnements

• Utilisé pour la gestion des paiements et abonnements.
• Stripe traite les données de paiement selon les standards PCI-DSS.
• Thomas LEQUEUX Consulting n'a jamais accès aux données bancaires des utilisateurs.
• Stripe est établi en Irlande pour les clients européens (conformité RGPD).

8.3 Render — Hébergement backend

• Serveur backend hébergé via Render, localisé à Francfort (UE).
• Permet de gérer les appels API, la validation des licences et le routage des requêtes vers le moteur d'IA sélectionné.
• Le serveur backend ne conserve ni ne journalise le contenu des requêtes ou des réponses IA.
• Toutes les communications passent par HTTPS sécurisé.

8.4 OpenAI — Analyse par intelligence artificielle (moteur OpenAI)

• Utilisé uniquement lorsque l'utilisateur choisit le moteur OpenAI pour analyser ses données.
• Les données transmises se limitent à la sélection Excel effectuée par l'utilisateur.
• Mode « no training » activé ; stockage temporaire maximum de 30 jours pour contrôle de qualité.
• OpenAI agit comme sous-traitant et applique son Data Processing Addendum.
• Le transfert de données vers les États-Unis est encadré par des clauses contractuelles types (SCC) conformément au RGPD.

8.4b Mistral AI — Analyse par intelligence artificielle (moteur Mistral AI)

• Utilisé uniquement lorsque l'utilisateur choisit le moteur Mistral AI pour analyser ses données.
• Les données transmises se limitent à la sélection Excel effectuée par l'utilisateur.
• Mistral AI est une société française (SAS, siège social : 15 rue des Halles, 75001 Paris — SIREN : 952418325), soumise nativement au RGPD.
• Par défaut, les données sont hébergées dans l'Union européenne.
• Thomas LEQUEUX Consulting utilise le plan Scale de Mistral AI, sur lequel les données utilisateur ne sont pas utilisées pour l'entraînement des modèles.
• Mistral AI conserve les entrées et sorties des requêtes API pendant 30 jours glissants à des fins de surveillance des abus, après quoi les données sont supprimées.
• Mistral AI agit comme sous-traitant et met à disposition un Data Processing Addendum (DPA) conforme au RGPD.
• Aucun transfert de données hors de l'Union européenne n'est nécessaire par défaut avec ce moteur.
• L'option Zero Data Retention (ZDR) est disponible sur demande, permettant d'éliminer la rétention de 30 jours pour la surveillance des abus.
• Les conditions de traitement des données de Mistral AI sont consultables sur legal.mistral.ai/terms/data-processing-addendum et legal.mistral.ai/terms/privacy-policy.

8.5 Modal — Hébergement GPU (moteur OptIA Online)

• Utilisé uniquement lorsque l'utilisateur choisit le moteur OptIA Online.
• Modal (Modal Labs, Inc.) est une plateforme d'infrastructure cloud serverless. Thomas LEQUEUX Consulting y déploie et exploite exclusivement son propre modèle d'IA dans un conteneur isolé.
• Modal est certifié SOC 2 Type II, attestant de la mise en œuvre et du maintien effectif de contrôles de sécurité, de disponibilité, de confidentialité et de protection des données sur une période prolongée, vérifiés par un auditeur indépendant.
• Modal est compatible HIPAA et propose la signature de Business Associate Agreements (BAA) pour les données de santé.
• Modal s'engage contractuellement à adopter une approche de moindre privilège : il ne consulte, n'utilise ni n'accède jamais au code source, aux entrées et sorties de fonctions, ni aux données stockées dans les images et volumes de ses clients.
• Modal supprime toutes les entrées et sorties de fonctions dès que les résultats ont été récupérés par le client.
• Les conteneurs sont isolés par la technologie gVisor (sandboxing open-source développé par Google, utilisé dans Google Cloud Run et Google Kubernetes Engine), garantissant une défense en profondeur au niveau le plus bas du système d'exploitation.
• Toutes les données sont chiffrées en transit via TLS 1.3 et au repos via AES-256.
• Le client (Thomas LEQUEUX Consulting) conserve l'intégralité des droits de propriété intellectuelle sur ses données. Modal ne peut utiliser que des données agrégées et dé-identifiées à des fins internes (amélioration de la plateforme).
• Aucune donnée utilisateur n'est écrite sur le disque du conteneur GPU ; le traitement s'effectue intégralement en mémoire vive.
• Le conteneur s'éteint automatiquement après une période d'inactivité (scale-to-zero).
• Les conditions d'utilisation et la politique de traitement des données de Modal sont consultables sur modal.com/legal/terms et modal.com/legal/dpa.

8.6 Hostinger — Site web

• Héberge le site vitrine https://lequeux-thomas.com (WordPress).
• Gestion des cookies et conformité CNIL mise en place.
• Aucune donnée sensible liée à l'add-in n'est stockée via Hostinger.

---

9. Cookies et site internet

Le site web https://lequeux-thomas.com peut utiliser des cookies à des fins de mesure d'audience (Google Analytics) ou de fonctionnement. Un bandeau d'information et un système de consentement sont en place conformément aux exigences de la CNIL.

---

10. Transferts internationaux de données

Les données personnelles traitées dans le cadre de l'add-in peuvent faire l'objet de transferts en dehors de l'Union européenne dans les cas suivants :

• Moteur OpenAI : transfert vers les États-Unis, encadré par les clauses contractuelles types (SCC) approuvées par la Commission européenne.
• Moteur Mistral AI : les données sont hébergées dans l'Union européenne par défaut. Mistral AI est une société française soumise nativement au RGPD. Aucun transfert hors de l'UE n'est nécessaire par défaut. Certains sous-traitants de Mistral AI peuvent être situés hors de l'UE ; dans ce cas, les transferts sont encadrés par les clauses contractuelles types (SCC) conformément au RGPD, comme détaillé dans le DPA de Mistral AI.
• Moteur OptIA Online : les données d'inférence transitent par l'infrastructure de Modal (États-Unis). Toutefois, Modal s'engage contractuellement à ne jamais accéder au contenu des entrées et sorties de fonctions et à les supprimer après récupération. Le modèle d'IA est exploité exclusivement par Thomas LEQUEUX Consulting dans un conteneur isolé. Les données ne sont jamais transmises à un prestataire d'IA tiers. Les conditions de traitement des données de Modal sont encadrées par leur Data Processing Addendum (DPA), qui prévoit les garanties nécessaires au transfert de données conformément au RGPD.

Lorsque l'utilisateur choisit le moteur OptIA Offline, aucun transfert de données n'a lieu.

---

11. Mise à jour de cette politique

Cette politique pourra être mise à jour à tout moment en fonction de l'évolution des fonctionnalités du produit ou de la réglementation.

Dernière révision : Mars 2026

---

🧭 1. Notre vision

Opti' est un service développé par Thomas LEQUEUX Consulting, micro-entreprise française spécialisée dans l'accompagnement des acteurs humanitaires et du développement.

Conscients de notre responsabilité éthique en tant que prestataire de solutions techniques au service de l'action humanitaire, nous nous engageons à respecter les principes fondamentaux qui guident le secteur humanitaire.

---

🤝 2. Principes humanitaires fondamentaux

Nous adhérons aux principes humanitaires universels :

• Humanité : soulager la souffrance humaine où qu'elle se trouve.
• Neutralité : ne prendre parti dans aucun conflit.
• Impartialité : fournir le service sans discrimination.
• Indépendance : garantir l'autonomie de nos décisions techniques.

---

🚫 3. Prévention de l'exploitation et des abus sexuels (PSEA)

Nous adoptons une tolérance zéro vis-à-vis de toute forme :

• D'abus de pouvoir
• D'exploitation ou de harcèlement sexuel
• De comportement discriminatoire ou oppressif

Nous nous engageons à ne travailler qu'avec des partenaires et utilisateurs adhérant à ces mêmes principes.

---

⚖️ 4. Éthique des données et de l'IA

Notre outil utilise l'IA pour assister l'analyse de données. À ce titre :

• Aucune donnée personnelle sensible n'est collectée ni conservée.
• Les données envoyées à l'IA sont exclusivement celles choisies explicitement par l'utilisateur lors de la phase de paramétrage de l'analyse.
• Les requêtes envoyées à l'IA n'ont pour but que de fournir l'interprétation des données pour l'utilisateur, et ne sont jamais utilisées à des fins commerciales.

Nous encourageons nos utilisateurs à anonymiser les données avant toute analyse.

---

🕊️ 5. Engagement contre la violence, le terrorisme et la corruption

Nous nous engageons à ne fournir nos services qu'à des acteurs respectant le droit humanitaire international.

Nous refusons toute collaboration avec des personnes ou entités impliquées :

• Dans le financement ou le soutien au terrorisme
• Dans des violations graves des droits humains
• Dans des actes de corruption, d'abus ou d'oppression

Nous vérifions régulièrement notre conformité aux réglementations européennes et internationales en matière de sanctions et de sécurité.

---

🧪 6. Responsabilité et transparence

Nous mettons tout en œuvre pour offrir un service :

• Transparent dans son fonctionnement
• Respectueux de la confidentialité des données
• Conforme au RGPD

Tout manquement ou signalement éthique légitime peut être adressé directement à : 📧 thomas.lequeux.consulting@gmail.com

---

📝 7. Révision et amélioration

Cette charte pourra être mise à jour pour rester alignée avec l'évolution des pratiques éthiques et des standards du secteur humanitaire.

Dernière révision : 14 août 2025